Trampa de OAuth: los desarrolladores están perdiendo el control de sus repositorios de GitHub en masa

Fraude GitHub OAuth ciberataques alertas de seguridad phishing desarrolladores
Trampa de OAuth: los desarrolladores están perdiendo el control de sus repositorios de GitHub en masa
Fraude GitHub OAuth ciberataques alertas de seguridad phishing desarrolladores

La campaña de phishing afectó a más de 12.000 proyectos en cuestión de días.

image

Los ciberdelincuentes lanzaron una campaña de phishing a gran escala dirigida a desarrolladores. Casi 12 000 repositorios de GitHub fueron atacados mediante falsas alertas de seguridad. Los atacantes engañaron a los usuarios para que autorizaran una aplicación OAuth maliciosa, otorgando a los hackers control total sobre sus cuentas y código.

Los mensajes dejados en los repositorios informaban de un «intento de inicio de sesión inusual» desde la dirección IP 53.253.117.8 en Reikiavik, Islandia. En el texto de la advertencia se recomendaba actualizar la contraseña de inmediato, revisar las sesiones activas y habilitar la autenticación de dos factores. Sin embargo, todos los enlaces en estos mensajes redirigían a los usuarios a una página de autorización de la aplicación maliciosa «gitsecurityapp», que solicitaba amplios privilegios de acceso.

Los atacantes exigían permisos que les permitían tener control total sobre los repositorios de la víctima, gestionar el usuario, leer y modificar discusiones, operar con organizaciones y eliminar repositorios. Especialmente preocupantes eran los permisos para modificar GitHub Actions, lo que permitía a los atacantes inyectar código malicioso en los flujos de trabajo de los usuarios.

Si el usuario ingresaba sus credenciales y aceptaba la autorización, la aplicación generaba un token OAuth y lo enviaba a un servidor remoto. De esta forma, los hackers obtenían control total sobre la cuenta comprometida.

El ataque cibernético comenzó el 16 de marzo y aún sigue activo, aunque el número de repositorios afectados varía, lo que indica que GitHub está tomando medidas para mitigar la amenaza. Los investigadores señalan que la empresa ya ha comenzado a eliminar las alertas falsas de los proyectos afectados.

Se recomienda a los desarrolladores que hayan otorgado acceso a la aplicación maliciosa que revoquen inmediatamente sus permisos a través de la configuración de GitHub en la sección «Aplicaciones». También deben revisar la actividad en sus repositorios, eliminar cualquier GitHub Actions desconocido y asegurarse de que no haya nuevos archivos gist privados. Como medida de seguridad adicional, se recomienda cambiar las contraseñas y actualizar todos los tokens de autorización.

¿Tu Wi-Fi doméstico es una fortaleza o una casa de cartón?

Descubre cómo construir una muralla impenetrable

Noticias sobre el tema

Años de infiltración: China ha encontrado la forma de sumir a EE.UU. en la oscuridad

Los hackers colapsan el sistema de salud en Micronesia

Mora_001: un nuevo descendiente de LockBit atraviesa la protección de Fortinet

KoSpy: se ha encontrado software espía en Google Play

DeepSeek R1 ha sido hackeado: keyloggers y virus sin restricciones

778000 clones: tu criptobilletera podría convertirse en ajena en una fracción de segundo

100 concesionarios se convierten en distribuidores de un troyano de acceso remoto

Sala 641A: cómo un ingeniero de AT&T reveló el sistema de vigilancia masiva

Un framework, miles de víctimas: BRUTED automatiza los ataques a redes corporativas